ProHoster > مصادقة ثنائية في OpenVPN مع Telegram bot
مصادقة ثنائية في OpenVPN مع Telegram bot
توضح المقالة كيفية تكوين خادم OpenVPN لتمكين المصادقة الثنائية مع روبوت Telegram الذي سيرسل طلب تأكيد عند الاتصال.
OpenVPN هو خادم VPN معروف ومجاني ومفتوح المصدر يُستخدم على نطاق واسع لتزويد الموظفين بوصول آمن إلى الموارد الداخلية للمؤسسة.
كقاعدة عامة ، يتم استخدام مزيج من مفتاح واسم مستخدم / كلمة مرور كمصادقة للاتصال بخادم VPN. في الوقت نفسه ، تقوم كلمة المرور المحفوظة على العميل بتحويل المجموعة بأكملها إلى عامل واحد لا يوفر المستوى المناسب من الأمان. تمكن المهاجم ، بعد أن تمكن من الوصول إلى جهاز كمبيوتر عميل ، من الوصول إلى خادم VPN أيضًا. هذا ينطبق بشكل خاص على الاتصال من الأجهزة التي تعمل بنظام Windows.
يقلل استخدام العامل الثاني من مخاطر الوصول غير المصرح به بنسبة 99٪ ولا يعقد عملية الاتصال للمستخدمين على الإطلاق.
سأحجز على الفور أنه من أجل التنفيذ ، ستحتاج إلى الاتصال بخادم مصادقة multifactor.ru تابع لجهة خارجية ، حيث يمكنك استخدام تعريفة مجانية لاحتياجاتك.
كيف يعمل
يستخدم OpenVPN المكون الإضافي openvpn-plugin-auth-pam للمصادقة
يتحقق المكون الإضافي من كلمة مرور المستخدم على الخادم ويطلب العامل الثاني عبر بروتوكول RADIUS في خدمة Multifactor
يقوم العامل المتعدد بإرسال رسالة إلى المستخدم عبر Telegram bot مع تأكيد الوصول
يؤكد المستخدم طلب الوصول في دردشة Telegram ويتصل بشبكة VPN
تثبيت خادم OpenVPN
هناك العديد من المقالات على الإنترنت تصف عملية تثبيت OpenVPN وتكوينه ، لذلك لن نقوم بتكرارها. إذا كنت بحاجة إلى مساعدة ، فهناك العديد من الروابط إلى البرامج التعليمية في نهاية المقالة.
وضع متعدد العوامل
اذهب إلى نظام تحكم متعدد العوامل، انتقل إلى الموارد وأنشئ شبكة ظاهرية خاصة جديدة.
بعد الإنشاء ، سيتوفر لك خياران: معرف NAS и السر المشترك، ستكون مطلوبة للتكوين اللاحق.
في قسم "المجموعات" ، انتقل إلى إعدادات المجموعة "كل المستخدمين" وقم بإلغاء تحديد علامة "كل الموارد" بحيث يمكن فقط لمستخدمي مجموعة معينة الاتصال بخادم VPN.
قم بإنشاء مجموعة جديدة "مستخدمو VPN" ، وقم بتعطيل جميع طرق المصادقة باستثناء Telegram ، وحدد أن المستخدمين لديهم حق الوصول إلى مورد VPN الذي تم إنشاؤه.
في قسم "المستخدمون" ، قم بإنشاء مستخدمين سيتمكنون من الوصول إلى VPN ، وأضف "مستخدمي VPN" إلى المجموعة ، وأرسل لهم رابطًا لإعداد عامل المصادقة الثاني. يجب أن يتطابق تسجيل دخول المستخدم مع تسجيل الدخول على خادم VPN.
إعداد خادم OpenVPN
افتح الملف /etc/openvpn/server.conf وأضف مكونًا إضافيًا للمصادقة باستخدام وحدة PAM